|
|
可以讀/etc/passwd!
這段。。
[文件上載]
php自動(dòng)支持基于RFC 1867的文件上載,我們看下面的例子:
<FORM METHOD="POST" ENCTYPE="multipart/form-data">
<INPUT TYPE="FILE" NAME="hello">
<INPUT TYPE="HIDDEN" NAME="MAX_FILE_SIZE" VALUE="10240">
<INPUT TYPE="SUBMIT">
</FORM>
上面的代碼讓用戶從本地機(jī)器選擇一個(gè)文件,當(dāng)點(diǎn)擊提交后,文件就會(huì)被上載到服務(wù)器。這顯然是很有用的功能,但是php的響應(yīng)方式使這項(xiàng)功能變的不安全。當(dāng)php第一次接到這種請(qǐng)求,甚至在它開始解析被調(diào)用的php代碼之前,它會(huì)先接受遠(yuǎn)程用戶的文件,檢查文件的長(zhǎng)度是否超過(guò)“$MAX_FILE_SIZE variable”定義的值,如果通過(guò)這些測(cè)試的話,文件就會(huì)被存在本地的一個(gè)臨時(shí)目錄中。
因此,攻擊者可以發(fā)送任意文件給運(yùn)行php的主機(jī),在php程序還沒(méi)有決定是否接受文件上載時(shí),文件已經(jīng)被存在服務(wù)器上了。
這里我就不討論利用文件上載來(lái)對(duì)服務(wù)器進(jìn)行DOS攻擊的可能性了。
讓我們考慮一下處理文件上載的php程序,正如我們上面說(shuō)的,文件被接收并且存在服務(wù)器上(位置是在配置文件中指定的,一般是/tmp),擴(kuò)展名一般是隨機(jī)的,類似“phpxXuoXG”的形式。php程序需要上載文件的信息以便處理它,這可以通過(guò)兩種方式,一種方式是在php 3中已經(jīng)使用的,另一種是在我們對(duì)以前的方法提出安全公告后引入的。
但是,我們可以肯定的說(shuō),問(wèn)題還是存在的,大多數(shù)php程序還是使用老的方式來(lái)處理上載文件。php設(shè)置了四個(gè)全局變量來(lái)描述上載文件,比如說(shuō)上面的例子:
$hello = Filename on local machine (e.g "/tmp/phpxXuoXG")
$hello_size = Size in bytes of file (e.g 1024)
$hello_name = The original name of the file on the remote system (e.g "c://temp//hello.txt")
$hello_type = Mime type of uploaded file (e.g "text/plain")
然后php程序開始處理根據(jù)“$hello”指定的文件,問(wèn)題在于“$hello”不一定是一個(gè)php設(shè)置的變量,任何遠(yuǎn)程用戶都可以指定它。如果我們使用下面的方式:
http://vulnhost/vuln.php?hello=/etc/passwd&hello_size=10240&hello_type=text/plain&hello_name=hello.txt
就導(dǎo)致了下面的php全局變量(當(dāng)然POST方式也可以(甚至是Cookie)):
$hello = "/etc/passwd"
$hello_size = 10240
$hello_type = "text/plain"
$hello_name = "hello.txt"
上面的表單數(shù)據(jù)正好滿足了php程序所期望的變量,但是這時(shí)php程序不再處理上載的文件,而是處理“/etc/passwd”(通常會(huì)導(dǎo)致內(nèi)容暴露)。這種攻擊可以用于暴露任何敏感文件的內(nèi)容。
php技術(shù):php中文件上傳的安全問(wèn)題,轉(zhuǎn)載需保留來(lái)源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
